證券期貨行業如何做好數據安全管理與保護
指引制定背景
隨著近年來相關法律法規與行業標準相繼出臺,數據安全體系建設的監管要求日趨嚴格。其中《網絡安全法》《數據安全法》將信息安全和數據安全上升為國家戰略,明確指出各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
近日,證監會正式發布并實施JR/T 0250—2022《證券期貨業數據安全管理與保護指引》(以下簡稱“指引”),在結合JR∕T 0158-2018《證券期貨業數據分類分級指引》將數據定級劃分為1至4級的基礎之上,進一步對不同安全級別的數據在數據生命周期的各個過程域中宜采取的管控措施進行細化,為證券期貨行業建設體系化的數據安全架構提供了具有強落地性和可執行性的參考依據。
指引適用范圍
指引適用的證券期貨業機構包括:證券期貨業市場核心機構、證券期貨基金經營機構、證券期貨信息技術服務機構和證券期貨業市場監管機構,作為其開展數據安全管理與保護工作的參考和指引。同時,涉及國家秘密的數據不在指引的適用范圍里。
術語定義
指引首次定義了四個新的概念:
數據接觸者:
在數據采集、數據展現、數據傳輸、數據處理、數據存儲過程中的參與者,包括投資者、經營機構、服務機構、核心機構、監管機構等。
數據控制者:
可以授權或拒絕訪問某些數據、決定數據使用和數據處理目的和方式,并對其完整性、可用性和安全性負責的個人或機構。
可控區域:
在每個數據過程域中,數據控制者獨立擁有直接承載數據的信息基礎設施和其所承載信息系統的管理權或使用權的區域。例如本地機房、租賃場地但設備自有的機房、私有云等環境。
非可控區域:
在每個數據過程域中,數據控制者非獨立擁有直接承載數據的信息基礎設施或其所承載信息系統的所有權或使用權的區域。例如托管的機房、租賃設備的機房、公有云、混合云等環境。
基本原則
在過程域劃分原則上,指引中的數據存儲階段涵蓋了數據刪除和數據銷毀兩個環節,進行了部分環節的合并與調整。
指引同時強調從組織、制度、技術方面建立數據安全體系,提高整體防護能力,也須注意數據級別與數據安全防護的差異性,確保實用性。同時也建議各機構依據自身情況,將數據安全管理進行具體落實。
組織架構
從上述內容中可以看出,指引在遵循了《數據安全法》中需確定數據安全最高責任人的要求之外,還明確了其應當履行的職責,在現行的各數據安全管理相關部門中選定一個部門或者新組建一個數據安全管理部門作為數據安全管理的主責部門。
同時指引還針對數據安全管理部門、合規風控部門、業務管理部門、信息技術部門和內部審計部門明確了各部門的數據安全管理職責的責任劃分,建立了數據安全工作分工協作的機制。
制度建設
制度體系建設作為數據安全體系建設中不可或缺的一部分,需要建立數據安全工作開展的管理組織和管理流程,形成明確的數據安全管理機制,指引中共列出了九份制度清單,包括一份數據安全管理辦法和八份管理細則:
除此之外,基于《數據安全法》和《個人信息保護法》等法律法規的要求,結合安恒信息多年的數據安全實踐經驗,建議應補充如下三份管理制度:
數據分類分級管理制度:內容應明確數據分類分級的工作流程,確定相關人員職責,明確數據分類的原則和方法、數據分級的原則和方法,明確數據分類分級的邏輯框架等。
數據安全風險評估管理制度:內容應明確數據安全風險評估工作開展的原則、工作流程、風險計量方式、風險處置整改流程等。
個人信息保護管理制度:內容應明確個人信息保護的原則、個人信息的類型和敏感程度、用戶信息保護的管控措施、內部員工信息保護的管控措施以及相關工作開展的流程等。
數據安全管理與保護
在數據安全管理與保護部分,指引從管理安全、技術安全和數據接觸者安全三個角度,針對不同安全級別的數據明確了其在不同的生命周期過程域中、涵蓋了可控區域和非可控區域的宜采取的各項管控措施,為數據安全體系的落地提供了細顆粒度的指導。
(一)不同級別數據安全指引
與JR∕T 0158-2018《證券期貨業數據分類分級指引》數據定級相適應,指引將數據安全管理與保護劃分為四級,在數據生命周期各階段提出在管理、技術等維度,提供與該級別數據相對應的安全指引。
不同級別的數據安全管理與保護相關的要求、標準,呈逐級遞增趨勢,與數據重要性等分級的業務屬性相符合。
(二)數據生命周期過程劃分
指引中,數據生命周期包括數據采集、展現、傳輸、處理、存儲五個階段過程,依據數據的不同級別給出相對應的安全要求與措施。
數據生命周期過程的劃分,為證券期貨行業在數據安全管理體系與技術體系的建設過程中,能夠依據自身數據的不同場景設計安全管理與保護能力,確保覆蓋數據面臨的全面風險。
(三)可控區域安全管理與保護
各級數據安全指引針對數據控制者的可控區域,提出包括管理指引、技術指引方面的細化要求,同時對2級及以上的數據提出數據接觸者指引的概念并細化了相關要求。
可控區域數據安全保護,是數據控制者與保護責任者必須獨立構建數據安全管理、技術防護的重點工作。在實踐過程中可與機構內部管理體系、技術體系進行有效融合,提高整體安全效率與安全效能。
(四)非可控區域安全管理與保護
針對非可控區域的數據安全管理與保護,是與數據的流轉、使用等場景相適應的,有利于差異化數據安全保護方案的實踐,確保數據生命周期安全的同時,保障數據價值的充分發揮。
非可控區域數據安全保護,是在可控區域數據安全要求基礎上,對數據控制者和其他相關方,對該階段數據場景“外延場景”在管理、技術等方面提出的細化要求。
隨著數據安全保護相關標準要求不斷完善和安全監管力度的不斷強化,數據安全治理與保護工作任務日益艱巨。安恒信息多年來積極參與國家、行業網絡安全與數據安全標準規范的制定,持續投入相關資源,進行數據安全風險評估體系、安全管理體系、技術支撐體系、安全合規體系等方面的研究,在金融等重點行業取得了豐富的實踐經驗。為各金融機構和各行業用戶提供專業的數據安全咨詢能力,確保數據安全工作的合規性,切實保障數據資產的整體安全。
